kubernetes 基本概念和资源对象汇总

kubernetes 基本概念和知识点脑图

基本概念

kubernetes 中的绝大部分概念都抽象成kubernets管理的资源对象，主要有以下类别：

• Master : Master节点是kubernetes的控制节点，负责对整个集群的管理和控制，运行着kubernetes的核心管理、控制层组件。
• kube-apiserver: 集群的入口，提供HTTP REST服务，同时又认证和授权访问功能
• kube-controller-manager : 集群的控制层，负责集群资源的管理，自动化控制
• kube-scheduler: 集群的调度器，负责pod的调度
• Node: Node节点是kubernetes的工作节点，工作负载主要运行容器应用，由Master节点分配工作负载，Node节点主要包括以下组件：
  • kubelet: 管理node节点上的容器生命周期（创建、启动、监控、重启、销毁），同时协调Master节点工作，实现对集群的基本管理功能，是一个kube-apiserver的代理
  • kube-proxy: 实现kubernetes service的通信和负载均衡
  • docker: 负责运行容器化应用（Pod）

kubernetes 核心组件

• etcd 保存了整个集群的状态，是一个数据库
• apiserver 提供资源操作的唯一入口，并提供认证、授权、访问控制、api注册和发现机制
• controller-manager 负责维护整个集群的状态，比如故障检测、自动扩展、滚动更新等
• scheduler 负责资源的调度，按照预定的策略将资源调度到相应的机器上
• kubelet 负责维护容器的生命周期，同时负责Volume（CSI）和网络（CNI）的管理
• kube-proxy 负责为service 提供cluster的服务发现和负载均衡
• Container runtime 负责镜像的管理以及pod和容器的真正运行(CRI)

标准配套组件：

• kube-dns(core-dns)提供集群内部DNS服务
• ingress controller 提供访问集群容器应用的网络接口

组件通信

Kubernetes 多组件之间的通信原理：

• apiserver 负责 etcd 存储的所有操作，且只有 apiserver 才直接操作 etcd 集群
• apiserver 对内（集群中的其他组件）和对外（用户）提供统一的 REST API，其他组件均通过 apiserver 进行通信
  • controller manager、scheduler、kube-proxy 和 kubelet 等均通过 apiserver watch API 监测资源变化情况，并对资源作相应的操作
  • 所有需要更新资源状态的操作均通过 apiserver 的 REST API 进行
• apiserver 也会直接调用 kubelet API（如 logs, exec, attach 等），默认不校验 kubelet 证书，但可以通过 --kubelet-certificate-authority 开启（而 GKE 通过 SSH 隧道保护它们之间的通信）

比如最典型的创建 Pod 的流程：

• 用户通过 REST API 创建一个 Pod
• apiserver 将其写入 etcd
• scheduluer 检测到未绑定 Node 的 Pod，开始调度并更新 Pod 的 Node 绑定
• kubelet 检测到有新的 Pod 调度过来，通过 container runtime 运行该 Pod
• kubelet 通过 container runtime 取到 Pod 状态，并更新到 apiserver 中

kubernetes资源对象

Pod k8s基本粒度单位

ReplicaController 管理k8s

ReplicaSet 下一代RC

Deployment 管理RS,最新版RC，支持事务，版本回滚，滚动升级

DaemonSet 守护程序部署，每个node节点都部署一个pod

StatefulSet 有状态应用，顺序启动，优雅关闭

Job 只执行一次任务类型

CronJob 定时任务类型

Namespace 逻辑隔离空间

Service 服务发现，负载均衡

HPA 自动弹性伸缩

ConfigMap 配置文件

Secret 加密配置文件，有三种类型

• Opaque：base64 编码格式的 Secret，用来存储密码、密钥等；但数据也可以通过base64 –decode解码得到原始数据，所有加密性很弱。
• kubernetes.io/dockerconfigjson: 用来存储docker registry的认证信息
• kubernetes.io/service-account-token：用于被serviceaccount引用，serviceaccout 创建时Kubernetes会默认创建对应的secret。Pod如果使用了serviceaccount，对应的secret会自动挂载到Pod目录/run/secrets/kubernetes.io/serviceaccount中。

Ingress 负载均衡，外网访问接口

PersistentVolum pv持久化卷

PersistentVolumClaim pvc持久化卷声明，消耗pv资源

StorageClass 存储类，自动创建pv

RBAC 基于角色的访问控制

SA ServiceAccount用户

Role 角色

ClusterRole 集群角色

RoleBinding 角色权限绑定

ClusterRoleBinding 集群角色绑定

CustomResourceDefinition(CRD自定义资源对象)

kubectl api-resources 查看资源对象

​

kubectl api-version查看版本